Este viernes pasado se han publicado por fin el Esquema Nacional de Seguridad y el Esquema Nacional de Interoperabilidad, previstos en el artículo 42 de la Ley 11/2007, de acceso electrónico de los ciudadanos a los Servicios Públicos.

Aprovechando el resumen que estoy haciendo de cada unos de ellos para incluirlos en la primera edición de mi manual que, por  cierto, tengo a puntito, puntito, aprovecho aquí las virtudes del “copiar y pegar” para adelantar a aquellos interesados en el tema que no tienen ni el tiempo ni la paciencia de leerselo entero una suerte de sinopsis que espero sirva para tener, al menos, una primera idea aproximada de sus contenidos.

Empezamos hoy con el Esquema Nacional de Seguridad y trataremos el Esquema Nacional de Interoperabilidad en un próximo artículo.

El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, tiene como objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información.

Tal como se comenta en la exposición de motivos de esta norma, cuenta con una serie de precedentes que han inspirado su contenido, documentos de la Administración en materia de seguridad electrónica, tales como los Criterios SNC, las Guías CCN-STIC del Centro Criptológico Nacional, la Metodología de análisis y gestión de riesgos MAGERIT o el Esquema Nacional de Interoperabilidad.

Tiene en cuenta las recomendaciones de la Unión Europea, la situación tecnológica de las diferentes Administraciones Públicas, así como los servicios electrónicos ya existentes y  la utilización de estándares abiertos así como, en su caso y de forma complementaria, estándares que sean de uso generalizado por los ciudadanos.

El ENS empieza por definir sus principios básicos que son la seguridad integral, la gestión de riesgos, la prevención, reacción y recuperación, las líneas de defensa, la reevaluación periódica, y la función diferenciada por la cual se entiende que en los sistemas de información se diferenciará el responsable de la información, el responsable del servicio y el responsable de la seguridad. Cabe destacar aquí además que el ENS incluye en las dimensiones de seguridad a tener en cuenta a la trazabilidad de los datos, informaciones y servicios utilizados en medios electrónicos que gestionen en el ejercicio de sus competencias, un aspecto de seguridad al que la Ley 11/2007 no aludía de una manera explícita.

En el siguiente capítulo se tratan los requisitos mínimos, se establece que todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad, esta política de seguridad debe incluir un número importante de requisitos mínimos. Dada la importancia de este punto se enumera a continuación la lista completa de los mismos del artículo 11, junto con algunos de los detalles que se especifican en los artículos siguientes:

• Organización e implantación del proceso de seguridad, que deberá comprometer a todos los miembros de la organización.
• Análisis y gestión de los riesgos.
• Gestión de personal, donde destaca el hecho que todo el personal relacionado con la información y los sistemas deberá ser formado e informado de sus deberes y obligaciones en materia de seguridad.
• Profesionalidad.
• Autorización y control de los accesos.
• Protección de las instalaciones.
• Adquisición de productos en la que se valorarán positivamente los productos certificados.
• Seguridad por defecto, es decir, los sistemas deben diseñarse y configurarse de forma que garanticen, al menos, unos mínimos de seguridad por defecto.
• Integridad y actualización del sistema.
• Protección de la información almacenada y en tránsito donde se presta especial atención a los así considerados entornos inseguros que son los equipos portátiles, PDAs, dispositivos periféricos, soportes de información y comunicaciones sobre redes abiertas o con cifrado débil.
• Prevención ante otros sistemas de información interconectados, se ha de proteger el perímetro, en particular, si se conecta a redes públicas como Internet.
• Registro de actividad. Este requisito está orientado sobre todo a garantizar la protección de los derechos relacionados con la protección de datos personales.
• Incidentes de seguridad.
• Continuidad de la actividad, que se logra fundamentalmente mediante unas políticas adecuadas de copias de seguridad y de respaldo.
• Mejora continua del proceso de seguridad.

En los artículos siguientes se recomienda el uso de las infraestructuras y servicios comunes como lo son la Red Sara y sus servicios horizontales como manera de mejorar la seguridad de los sistemas propios. Por otra parte, se establece al Centro Criptológico Nacional (CNN) como responsable de la elaboración y difusión de guías[1] en materia de seguridad en el ámbito de las TIC y se definen las condiciones bajo las cuales las Administraciones públicas podrán declarar determinados sistemas como excluidos de la aplicación de este Real Decreto.

En los restantes artículos (artículos 31 a 44) se abordan cuestiones muy concretas, cuestiones como las condiciones técnicas de seguridad en las comunicaciones electrónicas, requerimientos de seguridad en las notificaciones, publicaciones electrónicas y firma electrónica, detalles relativos a la realización de auditorias de seguridad o los informes del estado de seguridad y se explicita que los registros electrónicos y las sedes electrónicos se encuentran sujetas a las previsiones de este Real Decreto.

Hay que destacar especialmente por una parte la respuesta ante incidentes de seguridad en la cual se establece el CNN-CERT como equipo técnico de apoyo y coordinación a las Administraciones públicas en los incidentes que pudieran sufrir y se establecen las guías CNN-STIC como documentación de referencia en la materia.

Por otra parte, ocupa un lugar especial el concepto de la categoría de un sistema de información en materia de seguridad, que según el artículo 43, “modulará el equilibrio entre la importancia de la información que maneja, los servicios que presta y el esfuerzo de seguridad requerido, en función de los riesgos a los que está expuesto, bajo el criterio del principio de proporcionalidad.”

Para la determinación de la categoría se especifica en el Anexo I un procedimiento detallado para la valoración del impacto que tendría un incidente de seguridad en las diferentes dimensiones de seguridad, un procedimiento que no puede negar sus orígenes inspirados en la metodología MAGERIT.

El Real Decreto concluye una serie de disposiciones y anexos como el mencionado. Las disposiciones abordan asuntos como la creación del Comité de Seguridad de la Información de las Administraciones Públicas o el establecimiento de un plazo inmediato de adecuación de los sistemas nuevos al ENS y la adecuación de los existentes en un plazo inicial de 12 meses que, solo si las circunstancias lo justifican, puede llegar al máximo de 48 meses.

Los 5 anexos son de carácter fundamentalmente técnico. El primero especifica el procedimiento de determinación de la categoría de un sistema arriba mencionado, el segundo y tercero especifican respectivamente un procedimiento apoyado en el anterior para la determinación medidas de seguridad a aplicar y las directrices bajo las cuales han de ejecutarse las auditorias de seguridad. En los dos anexos restantes se aporta un glosario de términos y acrónimos utilizados en el ENS, junto con un modelo de cláusula administrativa particular que debe servir como plantilla en los contratos a través de la cual se le exige al licitador una especificación precisa de la certificación de sus productos en el ámbito de la seguridad, en su defecto, la justificación debida de su idoneidad para la contratación.